本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。
快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Core\config\rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。建立和执行扫描任务:
我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
Java项目:
Fortify SCA对于Java项目的支持是做得最好的,建立扫描入口的路径选择非常多,常用的方法是直接执行HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\auditworkbench.cmd,启动审计工作台就可以直接对Java项目进行静态扫描;另外也可以使用Fortify SCA插件,集成嵌入Eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用ScanWizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理脚本文件,通过批处理代替手工输入执行命令进行测试。
使用HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\ScanWizard.cmd启动ScanWizard工具:
通过该页面可以选择你待扫描的Java项目根目录,如下图:
通过该页面你可以Review由Fortify帮你候选好的待扫描文件的情况,并通过人工对其进行调整,以满足你自己的扫描需求;
另外,也会列出所有你已经选择的待扫描文件的文件类型(Fortify所支持的编程语言),你可以通过勾选选择你要扫描的类型。
对于Java项目,通过该页面你可以Review由Fortify帮你候选好的ClassPath,即你项目中引用的所有Jar包,一旦存在引用缺失,它会清晰的对你有如下提示:
这样就有助你把所有Jar文件找到并设置对应的ClassPath,像如下方式通过勾选设置:
对脚本的生成环境、脚本文件的生成路径、名称进行配置;
对扫描阶段进行参数项的配置:
最终将按配置生成一个批处理或Shell脚本,运行即可完成测试。
.Net C#项目:
对于.Net C#项目我们同样以ScanWizard工具为例进行说明,与Java项目的区别是Fortify SCA需要依赖.Net SDK和VisualStudio环境, 因此,需要安装对应版本的相关软件产品。
另外,就是通过如下界面设置源代码内部所依赖的所有动态链接库(DLL)的路径:
当然,除了以上方法,你也可以通过使用Fortify SCA的VisualStudio插件,来完成开发过程中的实时扫描。
C/C++项目:
最后说说C/C++项目,C项目的扫描依赖C/C++编译器,比如Linux上的gcc、g++编译器,Windows上的CL编译器等。在此,我们主要以Linux操作系统下的C项目为例进行介绍,我们完全依靠命令行工具进行扫描,主要的方法是转换过程需要借助C源码项目中Makefile,主要过程如下:
(1)cmdmake clean
(2)cmdsourceanalyzer -b <build_id> touchless make建立转换过程
(3)cmdsourceanalyzer -b <build_id> -scan -f result.fpr进行源代码扫描,并输出结果结果审计:
扫描的执行很简单,关键是对扫描结果进行review和audit,甄别出真正存在安全风险的代码,这类工具误报率都是很大的,通过执行HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\auditworkbench.cmd,使用审计工作台完成对原始结果的审计,最终可以导出安全报告和开发者报告。
常见问题解决方法
内存不足问题
在应用Fortify SCA实施源代码扫描过程中内存不足是分析器(sourceanalyzer)经常报出的一类问题,如下:
扫描过程中:
com.fortify.sca.analyzer.AbortedException: There is not enough memory available
to complete analysis. For details on making more memory available, please consult the user manual.
结果过程中:
There were 3 problems with insufficient memory. Results may be incomplete. Consider allocating more memory.
因此,我们必须对JVM参数进行调整,增加虚拟器内存大小。
(1)确认安装64位的Fortify SCA程序;(这是一个众所周知的JVM问题,32为虚拟机内存大小及其有限);
(2)安装一个64位的jre,并将其替换HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\的jre目录(就算你安装了64位的Fortify SCA程序,该程序默认的jre仍然是32位的);
(3)调整扫描参数,如下所示:
sourceanalyzer -64 -Xmx4096M -Xms4096M -Xss24M ......
或通过修改ScanWizard工具所生成的脚本文件:
set MEMORY=-64 -Xmx4096M -Xms4096M -Xss24M
这样,我们就解决了内存不足的问题。
.Net环境匹配问题
由于Fortify SCA版本对于支持.Net环境的版本有限,比如最大支持到Microsoft SDK 7.0A
版本的SDK,如下脚本:
echo Searching VS Version....
reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v7.0A" 2>NUL >NUL
IF %ERRORLEVEL%==0 (
set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%
echo Found .NET 4.0 setting to VS version 10.0
GOTO VSSELECTED
)
通过Windows注册表中的SDK信息设置扫描依赖版本;
而且,由于Windows版本和.Net Framework版本的差异,环境上往往需要自己增加许多配置项,最常见的配置如下:
(1)SDK版本设置:
比如是8.1版本的,我们可以修改脚本文件:
reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v8.1A" 2>NUL >NUL
(2)ildasm路径设置
Unable to locate ildasm是一个常见问题,在转换中没有寻找到ildasm程序,可以通过以下方法设置:
1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:\Program Files (x86)\Microsoft SDKs\Windows\v8.1A\bin\NETFX 4.5.1 Tools\ildasm(一定是双斜杠)
2、脚本中的Translating过程中增加一行,如:
echo Translating files
echo %SOURCEANALYZER% %MEMORY% %LAUNCHERSWITCHES% -b %BUILDID% @%ARGFILE%
%SOURCEANALYZER% %MEMORY% %LAUNCHERSWITCHES% -b %BUILDID% @%ARGFILE% -Dcom.fortify.sca.IldasmPath="C:\Program Files (x86)\Microsoft SDKs\Windows\v8.1A\bin\NETFX 4.5.1 Tools\ildasm"
IF %ERRORLEVEL%==1 (
echo Sourceanalyzer failed, exiting
GOTO :FINISHED
)
(3)依赖DLL的设置
在通过ScanWizard设置源代码内部所依赖的所有动态链接库(DLL)的路径过程中,不会像Java项目一样报出哪些库未正确引用,只有当执行扫描时才会进行警告,因此,需要返回来通过警告信息进行设置,为“-libdirs”设置正确的路径,主要的引用目录路径为:
C:\Windows\Microsoft.NET\Framework和C:\Windows\Microsoft.NET\Framework64。
2755
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
